Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Aridi: Obteniendo información del sistema y su infraestructura en Linux

1.823 Aufrufe

Veröffentlicht am

Aridi es un completo sistema en Python (sin dependencias) para obtener la información de seguridad de cualquier sistema Linux en una red.
Descargable desde: https://github.com/dpgon/aridi.git

Veröffentlicht in: Internet
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Aridi: Obteniendo información del sistema y su infraestructura en Linux

  1. 1. Daniel Pozo Herramienta de escaneo de información de la arquitectura 2 aridi ● Introducción ● Recopilación de información ● Generación de informes ● Creación de un mapa de red
  2. 2. Daniel Pozo 3 Herramienta de escaneo de información de la arquitectura Introducción ● Herramienta para automatizar la recopilación de información de máquinas Linux ● Detecta la infraestructura donde esté integrada la máquina ● Posibilidad de varios tipos de informe sobre los datos obtenidos ● Generación automática de un mapa de red
  3. 3. Herramienta de escaneo de información de la arquitectura Daniel Pozo 4 Casos de uso
  4. 4. Daniel Pozo 5 Herramienta de escaneo de información de la arquitectura Recopilación de información ● Recopilación de información general ● Recopilación de información específica ● Recopilación de información volátil ● Recopilación de otra información ● Escaneo arp sweep ● Escaneo de puertos
  5. 5. Herramienta de escaneo de información de la arquitectura Daniel Pozo 6 Pasos ● Recopilación iterativa ajustable ● Funciona con permisos de superusuario o permisos normales ● Pregunta antes de operaciones lentas ● Finaliza realizando un escaneado de la red local y los puertos de las máquinas detectadas.
  6. 6. Herramienta de escaneo de información de la arquitectura Daniel Pozo 7 Recopilación de información general Hardware ● CPU ● Memoria ● Dispositivos USB Sistema operativo ● Uname ● *-release ● libc_ver Software ● Software y version instalada ● yum/dpkg/zypper/apt/pacman Almacenamiento ● Discos y particiones ● Espacio utilizado ● Directorios/Archivos con StickyBit, SUID y GUID
  7. 7. Herramienta de escaneo de información de la arquitectura Daniel Pozo 8 Recopilación de información específica General ● Nombres del host y dominio ● Hostid ● Mensajes issue., issue.net, motd Usuarios ● /etc/passwd ● /etc/shadow ● /etc/group Servicios ● Servicios en ejecución ● Tanto systemd como SyS V init Red ● Interfaces de red y direccionamiento ● Rutas, DNS y NTP ● IPtables
  8. 8. Herramienta de escaneo de información de la arquitectura Daniel Pozo 9 Recopilación de información volátil Procesos ● Con propietarios. ● Incluye carga CPU y consumo RAM Usuarios ● Activos e histórico ● Fallos de autenticación Uso de disco ● Carga y tasas ● Ficheros abiertos Red ● Conexiones activas y Listening ● Procesos detrás y propietarios CPU ● Individualizado por proceso /proc/[PID] ● /proc/stat ● /proc/loadavg Memoria ● Detallada ● /proc/meminfo
  9. 9. Herramienta de escaneo de información de la arquitectura Daniel Pozo 10 Recopilación de otra información ● En /etc y /var/log ● Búsqueda de IPs y FQDN ● IPs: evita comentadas, direcciones reservadas, broadcasting… ● FQDN: tras filtrado previo, comprueba vía una DNS query
  10. 10. Herramienta de escaneo de información de la arquitectura Daniel Pozo 11 Escaneo de direcciones y servicios ARP sweep ● Sin uso librería/app externa ● Multihilo para optimizar tiempos ● Sobre redes locales detectadas Escáner de puertos ● Sin uso librería/app externa ● Multihilo para optimizar tiempos ● Sobre puertos estándar IANA (~5800 puertos)
  11. 11. Daniel Pozo 12 Herramienta de escaneo de información de la arquitectura Generación de informes ● Informe resumido ● Informe detallado ● Informe de infraestructura ● Informe completo – El informe completo es una suma de los tres anteriores
  12. 12. Herramienta de escaneo de información de la arquitectura Daniel Pozo 13 Informe resumido ● Información más relevante ● Formato compacto, sin entrar en detalle ● Evitando listas largas (servicios, software…) ● Opción de salida por pantalla o a disco
  13. 13. Herramienta de escaneo de información de la arquitectura Daniel Pozo 14 Informe detallado ● Información completa ● Formato extenso, entrando en todos los detalles ● Incluye largas listas (servicios, software instalado, conexiones de red...) ● Opción de salida por pantalla o a disco
  14. 14. Herramienta de escaneo de información de la arquitectura Daniel Pozo 15 Informe infraestructura ● Listado de IPs con datos recopilados de cada una ● Separa IPs de la máquina del resto de IPs ● Dentro de cada IP, aporta: – Función, nombre del Host, FQDN, MAC... – Si es nombrada en /var/log o /etc – Puertos abiertos, conexiones realizadas – Reglas si figura en IPTables
  15. 15. Daniel Pozo 16 Herramienta de escaneo de información de la arquitectura Mapa de red ● Separa redes accesibles de la máquina escaneada ● Ubica máquinas detectadas en cada red ● Localiza Gateways, y los usa para pintar máquinas fuera de la red local ● Necesita Graphviz instalado
  16. 16. Herramienta de escaneo de información de la arquitectura Daniel Pozo 17 Creación de un mapa de red
  17. 17. Daniel Pozo 18 Herramienta de escaneo de información de la arquitectura Código https://github.com/dpgon/aridi.git Bajo GNU General Public License v3.0 Requisitos: ● python3.x ● graphviz (opcional) Dependencias: ● pip install graphviz (opcional) Instalación: ● git clone https://github.com/dpgon/aridi.git Uso: ● python3 aridi.py -h
  18. 18. Daniel Pozo Herramienta de escaneo de información de la arquitectura 19 ¡Gracias por leerme! Campus Internacional en Ciberseguridad Universidad Católica de Murcia Telefónica Eleven Paths

×